agradecimientos, colaboraciones, menéame, novedades, software

Las auditorías de seguridad de Alex Concha

Aunque muchos todavía creen en la seguridad por ocultación y piensan que el software libre es inseguro porque facilita el trabajo a los crackers, con el tiempo se va demostrando que no es así. La ventaja fundamental del software libre es que muchos ojos ven más que dos, y por lo tanto se pueden encontrar más fácil los bugs.

Y es así, salvo que para que ocurra tiene que haber ojos expertos que tengan ganas de analizar y auditar el código. En el Menéame hemos tenido suerte, aunque hay varios que saben que se lo han mirado (como agusti), hay una persona, muy jóven, que analiza el codigo hasta el mínimo detalle, Alex Concha.

Nos sorprende regularmente, no hay semana que no reciba un correo de él avisándome –con explicación parche y prueba de concepto– de esos problemas de seguridad muy ocultos, difíciles de encontrar y aún más difíciles de explotar. Pero Alex los encuentra a todo, nos soluciona el problema y además nos enseña.

Sin duda alguna, el que no haya ocurrido ningúin desastre –todavía– en el Menéame es en gran parte gracias a él. Y si alguien necesita que para auditorías de riesgos de inyección SQL, XSS, CSRF, etc., ya sabe a quién recomendamos 🙂

colaboraciones, menéame, novedades

Las referencias cruzadas de comentarios

Desde ya hace bastante tiempo funciona la visualización de tooltips cuando hay referencias cruzadas de comentarios. Hasta ahora sólo funcionaba cuando se visualizaban los comentarios en la página de una noticia debido a que el Javascript obtenía el texto del mismo HTML de la página (que es muy rápido y eficiente). Esta técnica impedía mostrar las referencias cruzadas cuando no estaban disponibles todos los comentarios en la misma página.

Eso ha cambiado, desde hace unas horas también funcionan siempre. Si el texto del comentario no está disponible se hace una conexión AJAX para generar un tooltip igual al que se usa en la fisgona. Agustí Moll me pasó el patch que lo implementaba y sirvió de base para la versión actual. Gracias.

colaboraciones, karma, menéame

Nuevo cálculo del karma con función decreciente temporal

Propuesta de Aitortxu para el karma decreciente por tiempo

Aitor me ha enviado un mensaje proponiendo que cambie el cálculo de los puntos de karma para los votos a noticias publicadas.

Al principio dudaba por la posible complejidad de las consultas mysql y porque la propuesta inicial contemplaba la modificación de la tabla de votos (que es enorme y hay que tratarla con mucho cariño). Pero anoche se me encendió la lamparilla y encontré la forma de calcular exactamente lo mismo sin necesidad de cambiar nada en la BBDD y sin incrementar la complejidad computacional o de consultas a la BBDD.

Ahora estoy probando el código y haciendo simulaciones con la base de datos real para comprobar que los valores sean razonables y que los máximos de karma que se asignan sea equivalentes al método anterior. Tengo una sola duda, la “moratoria”, por ahora pruebo con 30 minutos, aunque depende de cómo vayan las simulaciones (que están yendo muy bien, incluso hay más información para detectar con mayor precisión a los bots y karmawhores). Seguramente esta noche ya activaré para el siguiente cálculo (a las 7 am).

Al que quiera mirar el código que estoy probando, está en scripts/karma6.php.

colaboraciones, menéame, pijadas

Microsummary para Firefox 2

Ya está en marcha desde hace varios meses, pero hace un momento el autor lo actualizó para la versión 2.0 del Firefox. Por ahora sólo un teaser, me prometió que mañana lo explicaría en su blog.

Con este microsummary se pueden seguir las últimas publicadass, enviadas o recomendadas, incluso las enviadas por un autor determinado.

Actualización: Miguel ya ha publicado el apunte donde explica cómo funciona (sirve para implementarlo en cualquier sitio web). También se habla de ello en el Menéame.